<div dir="ltr"><div>Selam,</div><br><div class="gmail_quote"><span class="gmail-im" style="color:rgb(80,0,80)"><div dir="ltr" class="gmail_attr">On Sat, 20 Feb 2021 at 18:25, Mehmet Başaran <<a href="mailto:mehmet94nto@gmail.com" target="_blank">mehmet94nto@gmail.com</a>> wrote:<br></div></span><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><span class="gmail-im" style="color:rgb(80,0,80)">Merhaba,<div>sunuculardaki config dosyalarında yapılan değişimleri takip etmek istiyorum</div><div>auditctl -w /etc/nagios/nrpe.cfg -k test2<br></div><div>ausearch -k test2 | aureport -f -i<br></div><div>son raporlama komutu  test2 etiketinin dosyasında (nrpe.cfg)  erişimler ve değişiklikleri  hangi saatte hangi userla(hangi userla o makinaya bağlanılmış ise bu userın adı veya uidsi)  ve dosyada ne işlem yapıldığını listeliyor,</div><div>Benim yapmaya çalıştığım ise  bu dosyada yapılan değişikliği de göstermesi bunu nasıl yapabilirim bulamadım, ve mümkünse  sadece değişiklik yapılmış ise bunu göstermesi yani dosyanın okunması veya kopyalanması vb.(dosyada bir değişiklik yapılmadı ise) önemli değil sadece yazma veya ekleme yapıldıysa bunları görmem yeterli,<br></div></span></div></blockquote><span class="gmail-im" style="color:rgb(80,0,80)"><div><br></div><div> > auditctl -w /etc/nagios/nrpe.cfg -k test2</div><div><br></div></span><div>Burada -p parametresini de ekleyerek, hangi aktiviteleri loglamak istediginizi de belirtmelisiniz:</div><div><br></div><div>Su sayfadaki **Defining File System Rules** bölümüne bakabilirsiniz referans olarak:</div><div><br></div><div><a href="https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-defining_audit_rules_and_controls#sec-Defining_Audit_Rules_with_auditctl" target="_blank">https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-defining_audit_rules_and_controls#sec-Defining_Audit_Rules_with_auditctl</a><br></div><div><br></div><div>Kolay gelsin,</div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, 21 Feb 2021 at 14:20, Mehmet Başaran <<a href="mailto:mehmet94nto@gmail.com">mehmet94nto@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">etckeeper + git ile tüm değişiklikleri  yakalıyor fakat yapılan değişikliği değişikliği hangi userın(login olunan userın) yaptığını yakalayamıyor,<div>örneğin  bu değişikliği ben olusturduğum etctest userı ile  root olup yaptım fakar auto commit çalıştığında  resimdeki gibi rootun comitlediğini görüyoruz</div><div><img src="cid:ii_klf699b50" alt="image.png" width="278" height="64"><br></div><div>bir kullanıcı ile su root ile root olduktan sonra  manuel comitlendiğinde ise  istediğim gibi o kullanıcının commitlediğini görüyorum,</div><div><img src="cid:ii_klf6ao5a1" alt="image.png" width="255" height="63"><br></div><div><img src="cid:ii_klf6bcoq2" alt="image.png" width="562" height="269"><br></div><div>Benim amacım hem yapılan tüm değişiklikleri  kaydedebilmek (etckeeper bunu tam olarak sağlıyor) hemde  yapılan değişikliğin hangi userla yapıldığını takip etmek(userların hemen hepsinin sudo yetkisi olduğu için yapılan işlemler genellikle root a geçilip yapılıyor, dolayısıyla hangi user ile login olundu ise onu tespit etmem gerekiyor işlemi yapan o olduğu için) bunu autocommit yapamıyor, bunun için(o değişikliği kim yaptı ise bunu da bir şekilde commit'te dahil etme veya her değişiklikte commit'leme vb. tüm çözümler olabilir) bir konfigürasyon mu yapmak gerekiyor ?</div><div>Yaptığım araştırmada bununla ilgili bir bilgi bulamadım, bir döküman varsa paylaşabilir misiniz.</div><div>Yönlendirmeniz ve yardımınız için teşekkür ederim.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Mehmet Başaran <<a href="mailto:mehmet94nto@gmail.com" target="_blank">mehmet94nto@gmail.com</a>>, 20 Şub 2021 Cmt, 20:46 tarihinde şunu yazdı:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto">Teşekkürler hocam.</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">20 Şub 2021 Cmt 20:38 tarihinde Abdullah Ülker (Yandex) <<a href="mailto:abdullahulker@yandex.com" target="_blank">abdullahulker@yandex.com</a>> şunu yazdı:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div>Size etckeeper önerebilirim.<br><br><a href="https://topluluk.ozguryazilim.com.tr/wp-content/sunumlar/sunucu-ayarlari/#(1)" rel="noreferrer" target="_blank">https://topluluk.ozguryazilim.com.tr/wp-content/sunumlar/sunucu-ayarlari/#(1)</a><br><br>Doruk hocamızın sunumu.<br><br><br><div class="gmail_quote">20 Şubat 2021 20:25:03 GMT+03:00, "Mehmet Başaran" <<a href="mailto:mehmet94nto@gmail.com" rel="noreferrer" target="_blank">mehmet94nto@gmail.com</a>> yazdı:<blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div dir="ltr">Merhaba,<div>sunuculardaki config dosyalarında yapılan değişimleri takip etmek istiyorum bunun için yaptığım araştırmada,</div><div>svn  ile dosyada değişiklik yapıldığında mail attırma vb çözümleri buldum fakat burada sıkıntı değişimi kimin yaptığının tespit edilememesi durumuydu,</div><div>Bunun üzerine auditd ile bu dosyaları takip edilebileceğini öğrendim, </div><div>bu dosyalara yapılan erişimleri ve dosyalarda değişiklik yapılıp yapılmadığını takip edebiliyorum, ama dosyada yapılan değişikliğin ne olduğunu ya takip ettiremedim yada raporlayamadım,</div><div>Yapılan işlemler aşağıdaki gibidir;</div><div>apt install auditd<br></div><div>systemctl start auditd<br></div><div>auditctl -w /etc/nagios/nrpe.cfg -k test2<br></div><div>ausearch -k test2 | aureport -f -i<br></div><div>son raporlama komutu  test2 etiketinin dosyasında (nrpe.cfg)  erişimler ve değişiklikleri  hangi saatte hangi userla(hangi userla o makinaya bağlanılmış ise bu userın adı veya uidsi)  ve dosyada ne işlem yapıldığını listeliyor,</div><div>Benim yapmaya çalıştığım ise  bu dosyada yapılan değişikliği de göstermesi bunu nasıl yapabilirim bulamadım, ve mümkünse  sadece değişiklik yapılmış ise bunu göstermesi yani dosyanın okunması veya kopyalanması vb.(dosyada bir değişiklik yapılmadı ise) önemli değil sadece yazma veya ekleme yapıldıysa bunları görmem yeterli,</div><div>Çalıştığım sunucu Ubuntu 20.04.1 LTS, Linux 5.4.0-65-generic </div><div>Yardımınız için teşekkür ederim. </div></div>
</blockquote></div><br>-- <br>Android için K-9 Posta'dan gönderildi. Lütfen bu kısa notumu mazur görün.</div>_______________________________________________<br>
Linux-sunucu E-Posta Listesi<br>
<a href="mailto:Linux-sunucu@liste.linux.org.tr" rel="noreferrer" target="_blank">Linux-sunucu@liste.linux.org.tr</a><br>
<br>
Liste kurallarını <a href="http://liste.linux.org.tr/kurallar.php" rel="noreferrer noreferrer" target="_blank">http://liste.linux.org.tr/kurallar.php</a>  bağlantısından okuyabilirsiniz;<br>
<br>
Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz.<br>
<a href="https://liste.linux.org.tr/mailman/listinfo/linux-sunucu" rel="noreferrer noreferrer" target="_blank">https://liste.linux.org.tr/mailman/listinfo/linux-sunucu</a><br>
</blockquote></div>
</blockquote></div>
_______________________________________________<br>
Linux-sunucu E-Posta Listesi<br>
<a href="mailto:Linux-sunucu@liste.linux.org.tr" target="_blank">Linux-sunucu@liste.linux.org.tr</a><br>
<br>
Liste kurallarını <a href="http://liste.linux.org.tr/kurallar.php" rel="noreferrer" target="_blank">http://liste.linux.org.tr/kurallar.php</a>  bağlantısından okuyabilirsiniz;<br>
<br>
Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz.<br>
<a href="https://liste.linux.org.tr/mailman/listinfo/linux-sunucu" rel="noreferrer" target="_blank">https://liste.linux.org.tr/mailman/listinfo/linux-sunucu</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature">Selçuk Mıynat</div>